本文中描述的技术有助于在多租户、基于云的内容和协作环境中的基于范围的证书部署以用于安全的专用租户访问。在一些实施例中,描述了一种方法,所述方法包括:从访问系统接收进入的认证请求,其中,所述认证请求包括元数据;从所述认证请求中提取所述元数据;以及对所述元数据进行处理以识别与所述请求相对应的租户。然后访问与所述租户相关联的特定于租户的证书,并且将其提供给所述访问系统以供第三方证书颁发机构进行验证。
【技术实现步骤摘要】
【国外来华专利技术】基于范围的证书部署
技术介绍
在基于云的内容和协作服务,例如,诸如Online(SPO)服务中,服务器场被部署有证书,其使服务能够访问其它后端(或外部)服务,诸如,例如,快速搜索和传输ASA(FAST)TM搜索、等。SPO服务经由专用服务支持专用租户以及经由一般服务支持非专用租户。通过专用服务,单个企业可以存在于专用环境中,该环境具有用于访问后端服务的其自己唯一的证书集。除其它限制外,专用环境还需要专用证书、硬件和联网设备。遗憾的是,这些专用环境对于管理和扩展来说可能是非常繁重的。例如,每个专用环境需要为每个专用租户管理多达数百个证书。另外,专用环境可能需要专用的前端访问服务器和专用内容场,它们在功能上和物理上与服务器场中的其它专用和非专用租户分离(或隔离)。总的来说,本文中一些先前或相关系统的示例及其相关联的限制旨在是说明性的而非排他性的。在阅读以下内容后,现有或先前系统的其它限制对于本领域技术人员而言将变得显而易见。
技术实现思路
本文中讨论的示例涉及促进基于范围的证书部署的系统和方法,以用于多租户、基于云的内容和协作环境中的安全、专用的租户访问。在一些实施例中,描述了一种方法,所述方法包括:从访问系统接收进入的认证请求,其中,所述认证请求包括元数据;从所述认证请求中提取所述元数据;以及对所述元数据进行处理以识别与所述请求相对应的租户。然后访问与所述租户相关联的特定于租户的证书,并且将其提供给所述访问系统以供第三方证书颁发机构进行确认。提供本
技术实现思路
以便以简化的形式对下面在具体实施方式中进一步描述的设计构思的选择进行介绍。可以理解的是:本
技术实现思路
并不旨在标识要求保护的专利技术主题的关键特征或重要特征,也不旨在用于限制要求保护的专利技术主题的范围。附图说明为了描述可以获得上述和其它优点和特征的方式,阐述了更具体的描述,并且将通过参考在附图中示出的其具体示例来呈现更具体的描述。理解这些附图仅描绘了典型示例,并且因此不应该被认为是对其范围的限制,通过附图的使用,将用附加特征和细节来描述和解释实现。图1根据一些实施例描绘了示出用于示例性多租户基于云的内容和协作操作架构中的安全、专用租户访问的基于范围的证书部署的框图。图2根据一些实施例描绘了示出云协作/内容服务(例如,云协作/内容服务)的示例组件的框图。图3根据一些实施例描绘了示出用于促进多租户、基于云的内容服务中的基于范围的证书部署的示例操作的序列图。图4根据一些实施例描绘了示出用于促进多租户、基于云的内容服务中的基于范围的证书部署的示例操作的另一个序列图。图5A和图5B根据一些实施例描绘了示出用于促进用于多租户、基于云的内容和协作环境中的各个专用租户和区域性访问的基于范围的证书的部署的示例操作的流程图。图6是示出适于实现本文中公开的基于范围的证书部署技术的计算系统的框图,包括附图中示出的以及下面在具体实施方式中讨论的任何应用、架构、单元、过程和操作场景以及序列。具体实施方式下面详细讨论一些示例。虽然讨论了特定的实现,但应该理解的是:这是仅为了说明的目的而进行的。相关领域的技术人员将认识到的是:在不脱离本公开内容的专利技术主题的精神和范围的情况下可以使用其它组件和配置。这些实现可以是机器实现的方法、计算设备或计算机可读介质。在许多现有系统中,证书在全球范围内部署用于基于云的内容和协作服务,诸如,例如Online(SPO)。在当前的SPO部署中,必须为每个专用租户创建唯一的环境。除其它特征外,唯一的环境有助于处理虚名域的安全套接字层(SSL)终止,并在证书受到破坏时提供增强的安全性。遗憾的是,从物理硬件角度和从维护角度来看,为每个专用客户端创建唯一的环境是昂贵的。例如,新环境(例如通过专用产品提供的)可以包括私有域、虚名域、专用硬件和专用联网设备。此外,对于每个新环境,SPO架构都维护着用于访问后端服务的唯一的证书集,这些后端服务包括但不限于快速搜索和传输ASA(FAST)TM搜索、等。本文中描述的技术有助于在多租户、基于云的内容和协作环境中部署基于范围的证书以用于安全的专用租户访问。除了其它好处之外,基于范围的证书允许来自专用和非专用租户的数据(或内容)并排驻留在多租户内容场内。这些技术还减少了需要为专用租户管理的证书数量,从而无需为每个后端服务维护特定于租户的证书。通过这些技术实现的至少一个技术效果是利用租户(或客户端)自己的证书来对多租户、基于云的内容和协作环境中的租户访问进行认证和提供范围的能力。如本文中所讨论的,基于范围的证书提供专用和非专用租户数据(或内容)以并排地驻留在多租户内容场内,同时继续提供孤立(或专用)环境的增强的安全性。因此,如果特定于租户的证书受到破坏,则只有该租户(或客户端)会受到影响,因为同一环境(专用或其它)中的其它租户使用不同的证书。另外,如果多租户证书被破坏,则无需重新提供范围证书。这减少了系统停机时间、处理资源等。同样,特定于区域的证书也可用于在各个区域中提供类似的技术效果。在一些实施例中,针对每个专用租户支持和维护唯一的基于范围的特定于租户的证书。特定于租户的证书被部署到包含专用租户数据(或内容)的机器(例如,在内容场中)。出于安全目的,不会将特定于租户的证书部署到不包含专用租户数据(或内容)的机器。每个证书可以是全局证书、特定于租户的证书(作用范围是在其上存储所有者数据的机器或内容场)、特定于场的证书(作用范围是一个或多个内容场)或其它类型的范围证书。在一些实施例中,系统可以将证书类型(例如,从全局证书)更改为范围证书的类型。此外,系统可以在不影响范围证书的情况下更新全局证书,并且可以在不影响任何其它证书的情况下更新特定的范围证书。本文中主要参考Online(SPO)讨论了多租户、基于云的内容和协作服务。然而,这些技术同样适用于任何内容和/或协作服务。此外,本文中主要参考SSL终止讨论了证书,然而,证书可以是任何公钥。例如,本文中讨论的证书还可以用于电子邮件加密或代码签名以及其它应用。图1根据一些实施例描绘了示出用于示例性多租户基于云的内容和协作操作架构100中的安全的、专用租户访问的基于范围的证书部署的框图。如图1的示例中所示,多租户基于云的内容和协作架构100包括第三方证书颁发机构(CA)105、专用租户110A和110B、前端服务150,以及后端系统160a-160n。前端服务150包括一个或多个前端访问服务器152和一个或多个云协作/内容服务154。前端服务150促进了如本文所讨论的基于范围的证书部署技术。在一些情况下,云协作/内容服务154可以是一个或多个SPO部署。第三方CA105可以是发布数字证书的任何实体。数字证书可以证明证书的命名主题对公钥的所有权。这允许其它方(依赖方)依赖签名或关于与经认证的公钥相对应的私钥进行的断言。在这种信任关系模型中,CA是受信任的第三方—受证书的主体(所有者或专用租户)以及依赖证书的一方(与专用租户相关联的端用户)二者信任。公钥基础设施(PKI)方案可用于基于例如X.509标准在网络上实现例如https。最初,第三方CA105将特定于租户的证书(例如,TSC106和TSC107)分别提供给专用租户,例如,专用租户110A和110B。如本文所讨论的,专用租户又将其特定于租户的证书本文档来自技高网...
【技术保护点】
1.一种用于操作前端访问服务器以促进多租户基于云的内容服务中的基于范围的证书部署的方法,所述方法包括:从访问系统接收包括元数据的针对认证的请求;从所述认证请求中提取所述元数据;对所述元数据进行处理以识别与所述针对认证的请求相关联的租户;访问与所述租户相关联的特定于租户的证书;以及向所述访问系统提供所述特定于租户的证书以供第三方证书颁发机构进行验证。
【技术特征摘要】
【国外来华专利技术】2016.08.04 US 62/370,840;2016.12.05 US 15/369,2971.一种用于操作前端访问服务器以促进多租户基于云的内容服务中的基于范围的证书部署的方法,所述方法包括:从访问系统接收包括元数据的针对认证的请求;从所述认证请求中提取所述元数据;对所述元数据进行处理以识别与所述针对认证的请求相关联的租户;访问与所述租户相关联的特定于租户的证书;以及向所述访问系统提供所述特定于租户的证书以供第三方证书颁发机构进行验证。2.根据权利要求1所述的方法,其中,所述特定于租户的证书包括下列各项中的一项或多项:安全套接字层(SSL)证书、电子邮件加密证书或者代码签名证书。3.根据权利要求1所述的方法,其中,所述特定于租户的证书包括由所述第三方证书颁发机构颁发给所述租户的证书。4.根据权利要求3所述的方法,还包括:从专用租户系统接收所述特定于租户的证书;向所述多租户基于云的内容服务提供所述特定于租户的证书;接收对在其上或将在其上存储租户数据的机器的指示;以及向所述机器部署所述特定于租户的证书。5.根据权利要求4所述的方法,还包括:向所述机器部署全局证书。6.根据权利要求1所述的方法,还包括:从所述访问系统接收请求,其中,实现所述请求要求对后端服务进行访问;识别与所述后端服务相对应的共享证书;以及使用所述共享证书与所述后端服务进行认证。7.根据权利要求1所述的方法,还包括:使用所述特定于租户的证书来认证服务器。8.根据权利要求1所述的方法,还包括:通过应用程序接口(API)来接收要将第一证书的类型从全局证书改变为基于范围的证书的请求。9.根据权利要求8所述的方法,还包括:响应于接收到要改变所述第一证书的所述类型的所述请求,识别在其上部署所述...
【专利技术属性】
技术研发人员:M·拉庭萨巴帕蒂,P·西梅克,X·曾,H·米格拉尼,R·西尔瓦,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。